Drift Protocol: нет доказательств того, что мнемоническая фраза была украдена, атака высоко сложная, подготовка заняла несколько недель

Сообщение BlockBeats, 2 апреля, Drift Protocol в твите сообщила, что злоумышленник получил несанкционированный доступ, воспользовавшись новым типом атаки с участием durable nonce, и быстро перехватил управляющие полномочия Безопасностного комитета Drift. Эта атака крайне сложна: ее подготовка заняла несколько недель, включая использование pre-sign (предварительно подписанных) транзакций с аккаунтом durable nonce для задержки выполнения.

Согласно текущему расследованию, причина инцидента не связана с уязвимостями в программе или смарт-контракте Drift; нет доказательств, что были украдены мнемонические фразы; злоумышленник получил доступ через несанкционированное или поддельное подтверждение транзакций (возможно, с применением социальной инженерии). В итоге из протокола было выведено порядка 280 млн долларов США. Под воздействием оказались все займы, платежи по депозитам в запасах и средства транзакций. DSOL (не внесенные в Drift, включая активы, размещенные в качестве ставок у валидаторов Drift) и активы страхового фонда не пострадали; при этом страховой фонд сейчас изымается для защиты. В качестве превентивной меры все оставшиеся функции протокола заморожены, мультиподпись обновлена — удалены поврежденные кошельки.